Un malware è un software pericoloso (“malevolo” come si usa nel gergo informatico), con potenzialità distruttive, che riesce ad introdursi in computer, dispositivi mobili, reti aziendali, facendosi strada nel sistema e infettando il suo contenuto.
Di solito, a diffondere questi codici pericolosi, sono gruppi di criminali informatici, noti come hacker, che agiscono con i propositi più disparati: trafugare dati riservati (perlopiù con lo scopo di rivenderli), infettare un sistema, spiare le vittime, accedere ad aree riservate per sottrarre credenziali di accesso o numeri di carte di credito, eseguire azioni di cyber-spionaggio o cyber-sabotaggio, o anche solo testare il livello di sicurezza di un sistema e, eventualmente, denunciarne l’inaffidabilità.
È noto come i malware vengano diffusi attraverso internet, dispositivi USB infetti o applicazioni scaricate sui devices.
Estremamente difficili da contrastare sono soprattutto i malware diffusi mediante i messaggi di posta elettronica, e in particolare: attraverso collegamenti URL inseriti nel corpo della mail, che una volta cliccati indirizzano la vittima alla pagina web di un sito compromesso contenente il codice malevolo; attraverso documenti di qualsiasi tipo allegati alle mail, che la vittima sarà persuasa ad aprire senza riserve perché la mail apparirà provenire da un mittente noto (questo grazie all’alterazione dell’indirizzo presente nell’intestazione della email); attraverso i web downloads inseriti nella mail, mediante i quali il malware viene scaricato direttamente sul computer della vittima.
Il Check Point Research Team ha rilevato, infatti, che solo nel 2019 il 60% degli allegati contenenti malware e il 20% dei web downloads contenenti malware, erano racchiusi in documenti di tipo PDF, Microsoft Office Word, Excel and PowerPoint.
Un sicuro metodo difesa contro i Document-Based Malware, elaborato dal team di ricerca Check Point è il Threat Extraction, un preventivo sistema di protezione da minacce conosciute e non contenute nei documenti, che consiste non solo nell’investigazione e il riconoscimento del contenuto malevolo ma anche nella sua preventiva rimozione.
Questo metodo è conosciuto anche come File Sanitization o CDR (Content Disarm and Reconstruction), forse l’unico modo di contrastare il cosiddetto 0-day Exploit, il programma che sfrutta la vulnerabilità dei sistemi informatici e dove zero sta per il numero di giorni trascorsi da quando è stata riconosciuta la vulnerabilità del sistema e il conseguente numero di giorni a disposizione del programmatore per sopperire a tale vulnerabilità.
Il sistema Threat Extraction, rimuovendo il contenuto dannoso dai documenti ritenuti pericolosi, fronteggia lo 0-Day Exploit con lo 0-Day Prevention, ovvero elimina dal documento la potenziale minaccia e recapita al destinatario il messaggio definitivamente “sanificato”, ossia ricostruito con elementi depurati dalla componente minacciosa.
Per spiegare in che modo il sistema di “sanificazione dei file” funziona, basti ricordare come si è diffuso, a partire dal 2017 il Ransomware JAFF: il destinatario dell’attacco riceveva una e-mail con un documento PDF in allegato, che, una volta scaricato, apriva un file Word inglobato nel PDF, il quale, scaricato anch’esso, attivava il malware. Non è l’unico caso in cui un attacco hacker è stato realizzato attraverso l’uso di documenti di uso quotidiano: nello stesso anno, il gruppo Muddy Water sferrava attacchi inviando mail che riportavano nomi e loghi di compagnie realmente esistenti o di enti governativi, contenenti file di Microsoft Word; oppure l’attacco conosciuto come Trojanized Teamviewer, il sofisticato metodo di intrusione nei sistemi informatici governativi utilizzando fogli di tipo XLSM, inseriti all’interno di falsi documenti top secret statunitensi.
Un sistema di controllo preventivo come il Check Point Threat Extraction interviene eliminando la minaccia contenuta nel file, attraverso la rimozione dell’elemento ritenuto minaccioso, e ricostruisce il file con l’utilizzo di elementi conosciuti e sicuri, riducendo a zero il ritardo con cui un tradizionale sistema di controllo individua l’elemento dannoso.
In conclusione, per impedire rischiose intromissioni nei database e nelle informazioni riservate delle aziende attraverso imprudenti accessi a documenti malevoli, non resta che fare affidamento a compagnie di cybersecurity come Core Sistemi, in grado di effettuare questo tipo di controllo preventivo, la cui prontezza nel far fronte alle sempre nuove modalità di attacco informatico, sia tanto rapida e sollecita quanto la capacità dei cyber criminali di inventare nuove forme di crimine informatico.
Per conoscere i nostri servizi in termini di Cyber Security clicca qui